Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook informeert 4 miljoen gebruikers over mogelijk via app uitgelekte data

Facebook heeft bekendgemaakt dat het ongeveer vier miljoen gebruikers van de app myPersonality gaat informeren dat hun gegevens mogelijk zijn uitgelekt. Eerder bleek dat deze gegevens toegankelijk waren via een onbeveiligde site.

In een bekendmaking schrijft het bedrijf dat het de app inmiddels heeft geblokkeerd. Deze zou voornamelijk voor 2012 in gebruik zijn geweest. Facebook schrijft: "Vandaag hebben we myPersonality van Facebook verwijderd, een app die voornamelijk voor 2012 actief was, omdat [de mensen achter de app] ons verzoek om een audit weigerden en omdat het duidelijk is dat ze informatie deelden met onderzoekers en bedrijven terwijl er slechts beperkte beveiliging aanwezig was." Er zou geen bewijs zijn dat de vrienden van de vier miljoen gebruikers van de app door het incident getroffen zijn, waardoor Facebook deze mensen niet benadert.

In mei bleek dat de informatie die gebruikers met myPersonality hadden gedeeld, waaronder informatie over hun mentale gesteldheid, door onderzoekers van de Universiteit van Cambridge met honderden collega's zijn gedeeld. Dat gebeurde via een website waarvan de inloggegevens onder meer beschikbaar werden gesteld aan studenten. De gegevens bevatten onder meer informatie als leeftijd, geslacht, locatie en statusupdates die gekoppeld was aan een uniek id. Gebruikers van de app konden toestemming geven om hun anonieme gegevens te delen voor onderzoek.

Facebook meldt verder dat het inmiddels vierhonderd apps heeft verwijderd in het kader van een onderzoek dat startte in maart. Die zou het nu grondiger bekijken. Het onderzoek naar apps die informatie van Facebook-gebruikers verwerken is een van de gevolgen van het schandaal rond Cambridge Analytica.

Door Sander van Voorst

Nieuwsredacteur

23-08-2018 • 10:23

45 Linkedin Google+

Reacties (45)

Wijzig sortering
Er is toch niemand die serieus échte antwoorden op zo’n app invult?? Naar mijn idee is het altijd een sociaal wenselijk antwoord (hoe je gezien wil worden ipv hoe je daadwerkelijk bént).
ik vind het ook de grootste flauwekul, maar om maar een voorbeeld te noemen, ik zie mijn moeder vaak van dat soort onzin-dingen posten.
Yep. En als je niet oppast zitten er vragen tussen die betrekking hebben op de securityvragen om passwords te resetten. En dan ben je helemaal de sjaak omdat niemand bij gaat houden op welke sites welke securityvragen gesteld worden.

Overigens heb ik regelmatig passwordresets gedaan zonder ooit die securityvragen te hoeven beantwoorden...
En daarom zijn mijn moeders voorouders zo slim geweest om als achternaam een willekeurige 64 karakters te kiezen :+ Securityvragen zijn enkel extra wachtwoordvelden om meer willekeurige rotzooi in te dumpen.

Uiteraard zou die hele praktijk gewoon moeten stoppen. Daar heb je immers niets aan. Wat ik graag zou zien is de mogelijkheid om je account te koppelen aan een bepaald user-gekoppeld certificaat. En dan denk ik serieus aan een key die ten dele is opgesteld vanuit unieke waarden op je identiteitsbewijs, die dan lokaal ingescand kunnen worden. Dat zou volledig op de clients moeten kunnen worden gegenereerd.
Gaat weer ten koste van je privacy.
Niet als de sleutel een derivate is die lokaal wordt gegenereerd. Dan wordt enkel je id-bewijs gebruikt als onderdeel van de sleutelfunctie. Als je opnieuw de sleutel moet hebben, gebruik je de kaart opnieuw en op basis van verschillende parameters komt daar een sleutel uit die voor multi-factor kan dienen. Denk hierbij aan de dienst die wordt aangeroepen.
Dan zou je net zo goed een anonieme private key kunnen genereren.
Dat kan, maar die zou sneller vatbaar kunnen zijn voor malware en replicatie. Dat is ook het punt van de unieke sleutel voor elke dienst. Dat fungeert als een pepper waardoor de sleutel niet kan worden hergebruikt als deze wordt onderschept. Bovendien fungeert de ID-kaart als hardware token die door de overheid redelijk uniek wordt gehouden (verlopen bewijzen moeten terug).
Een beetje zoals eID (BE) of DigiD (NL)?
Meer zoals een vingerafdrukscanner, maar dan met je identiteitsbewijs. Uiteraard wordt niet direct de code van het id-bewijs gebruikt, maar wordt die code enkel lokaal gebruikt voor een key-generation functie of hashfunctie op basis van bijvoorbeeld de code, en de dienst waar je in probeert te loggen.

DigiD en eID zijn authenticatieproviders die het accountbeheer regelen, dit zou een 2nd factor op je account zijn voor fundamentele aanpassingen aan bereikbaarheid, zoals password changes en forgot-password functies.
Veel mensen voelen data niet, dus bestaat het niet.
Dat is vooral het probleem. Het is ‘alleen op internet dus ach boeien’. Dat internet alles met iedereen altijd verbindt is moeilijk voor te stellen ‘dus’ vermijden we moeilijke situaties automatisch. Je hersenen zijn er bewezen niet voor gemaakt om overal de moeilijkste weg te kiezen.
Veel mensen beseffen ook niet wat je met een aantal van hun gegevens allemaal kan doen en welke problemen het mogelijk kan veroorzaken.

Ze zien vooral bij iemand anders iets op de tijdlijn en willen dan in de kudde daar aan mee doen zonder even te kijken hoe het daadwerkelijk zit.

En een deel is ook gemakzucht. Niet lezen wat er gevraagd wordt en gewoon op ja/akkoord klikken.
Veel mensen beseffen ook niet wat je met een aantal van hun gegevens allemaal kan doen en welke problemen het mogelijk kan veroorzaken.
Kan doen en kan veroorzaken. Maar dat doet het niet voor de meeste mensen, dus gaan ze gewoon door. Het raakt ze niet en 'iedereen doet het'.
Heel herkenbaar hoor. We hebben hier ook wel eens een medewerker even laten schrikken. Deze vond het onzin om zijn laptop te locken en liet ook gewoon zijn telefoon onbeheerd liggen. Daarbij sloeg hij vrolijk ook alle wachtwoorden op in zijn browser. Wij hebben op een moment dat hij dit weer deed de inloggegevens van zijn bank uit de credential vault uitgelezen er vervolgens gewoon in kunnen loggen bij zijn bank met behulp van de SMS die hij op zijn telefoon ontving. Uiteraard het daadwerkelijk inloggen wel even in zijn bijzijn gedaan om duidelijk te laten zien wat het slordig om gaan met gegevens tot gevolg kan hebben.

Zolang het ze niet direct raakt interesseert het veel mensen inderdaad niet en is veilig werken of lezen welke autorisaties je aan een app geeft maar lastig/onzinnig in hun ogen.
Mensen zijn kuddedieren. Helemaal op social media. Als je buurvrouw een persoonlijkheidstestje doet en dit met alle contacten deelt, dan is de kans groot dat de hele straat dit doet. Om erbij te horen. En wat kan zo'n onschuldig persoonlijkheids testje nu kwaad, zal iedereen denken.

Jammer genoeg zit het niet zo simpel in elkaar.

Daarnaast ook: als je Facebook te serieus neemt en hier allerlei persoonlijke dingen plaatst, dan heb je gewoon je prioriteiten verkeerd, lijkt me (laat staan, erg naief). Gebruik het gewoon als een simpel netwerkje om in contact te blijven met mensen die je door omstandigheden niet regelmatig kunt zien.

[Reactie gewijzigd door Tipsko op 23 augustus 2018 10:36]

Nog eentje om toe te voegen aan het alsmaar langer wordende lijstje aan privacylekken...
Ben benieuwd waar Facebook over een jaar of misschien twee op de markt staat. Zelf doe ik er vrij weinig meer mee, en met mij ongetwijfeld vele anderen.
Het gaat hier om een ontwikkelaar van een app welke slordig is met de gegevens niet om Facebook zelf.

Mensen hebben zelf ook bewust deze app geïnstalleerd en gegevens gedeeld
ja klopt geheel " Mensen hebben zelf ook bewust deze app geïnstalleerd en gegevens gedeeld" maar deze mensen hebben dit vaak wel gedaan in de veronderstelling dat de beveiliging van de app maker in orde was? je gaat er bij het installeren van een app niet direct vanuit dat de beveiliging van de app maker zijn servers niet op orde is zowel dan kan je denk ik weinig meer installeren?

ik vind het puur een kwalijke zaak van facebook dat ze NU pas EXTRA screenings gaan uitvoeren op apps die toegang hebben tot een berg aan persoonlijke informatie!

Dit had vanaf het begin al gedaan moeten worden? maar ja dat is achteraf makkelijk praten natuurlijk.
@copywizard wel even de 2 artikelen lezen. Deze app had geen directe toegang tot persoonlijke informatie op facebook. Mensen hebben dit zelf ingegeven. Dat is een ander kaliber dan met Cambridge Analytica. In die zaak ging het om gegevens welke van Facebook af geharkt werden.

Voor zover uit de 2 artikelen op te maken is waren de gegevens van de gebruikers binnen de app zelf ook gewoon veilig. Immers zijn de gegevens van de overige 3 miljoen gebruikers nergens beschikbaar. Het gaat specifiek om de gegevens welke na toestemming zijn geëxporteerd zodat deze beschikbaar gemaakt konden worden aan onderzoekers. Een van de onderzoekers heeft daarbij de toegang tot de gegevens iets te makkelijk gemaakt.

De veiligheid binnen de facebook app lijkt dus op orde. Het gaat om de gegevens welke buiten de app beschikbaar zijn gemaakt. Hoe verwacht je dat Facebook nog verantwoordelijk is voor die gegevens.

Wat mij betreft valt Facebook (anders dan in de andere zaken) in dit geval weinig te verwijten en hebben ze prima gehandeld nadat bekend was gemaakt hoe de ontwikkelaar van de app heeft gehandeld.
Toen ze de app installeerde, stond er dan ergens dat hun gegevens zouden lekken?
@freaxje heb je het linkje in het artikel naar het eerdere artikel al gevolgd? Dus naar deze eerdere melding >> nieuws: Intieme informatie miljoenen gebruikers Facebook-app stond op onbevei...

Daar is gewoon te lezen dat mensen expliciet toestemming hebben gebruikt voor het delen van de informatie welke gegeven is in het onderzoek (dus binnen de app). Van de andere gebruikers zijn de gegevens dan ook niet vrijgegeven.

De lek zit hem in dat tot de gegevens welke voor onderzoek gebruikt mochten worden door een onderzoeker aan anderen toegang is verleend.
Als je Facebook wil gebruiken weet je dat je gewoon flink in moet leveren op je privacy en persoonlijke 'geheime' gegevens. Het zou Facebookgebruikers dus waarschijnlijk weinig uitmaken als er weer data uitgelekt wordt.

Het is toch al zo lek als een vergiet, en dan bedoel ik niet perse de security van Facebook zelf. Maar het doorspelen van data van en naar externe bedrijven.

[Reactie gewijzigd door snippiestgem op 23 augustus 2018 10:37]

Het gaat toch helemaal niet omdat Facebook zelf gegevens heeft gelekt. Het heeft ook 0 met de privacy instellingen te maken.

Ik snap dat Facebook bashen makkelijk is maar in dit geval hebben mensen zelf een Facebook app geactiveerd en toestemming gegeven voor het delen van de betreffende data. Daarna hebben die mensen zelf in de app de gegevens ingegeven.

Facebook heeft de ontwikkelaar gevraag om audit en hier is geen gehoor aan gegeven dus is de app ingetrokken door Facebook.
Nogmaals @freaxje ga het eerdere artikel eens goed lezen. De gegevens zijn opgegeven in de app. Na het ingeven is er aan de gebruiker gevraagd of deze gegevens gebruikt mochten worden voor onderzoeksdoeleinden. Daarna zijn de gegevens van de personen die hier akkoord op hebben gegeven buiten de app beschikbaar gemaakt voor onderzoekers. Een van de onderzoekers heeft daarbij iets te makkelijk toegang gegeven tot de gegevens aan onder andere studenten.

Dit heeft niets maar dan ook niets te maken met het lekken van gegevens door Facebook. Dus stop met conclusies te trekken en Facebook te bashen zonder dat je zelf de feiten op een rijtje hebt. Er is een onderzoeker die gewoon een fout heeft gemaakt. Dat staat los van een beroepseed of illegaal gegevens doorgeven. Je opmerkingen houden dan ook totaal geen verband met het artikel
Na het ingeven is er aan de gebruiker gevraagd of deze gegevens gebruikt mochten worden
Toch had ik dat liever op voorhand gezien. Dat scheelt een hele hoop invullen als je het niet wilt.
Tevens dwingt deze vraag na te denken of het verstandig is persoonlijke gegevens in te vullen die mogelijk misbruikt danwel gelekt kunnen worden.
Waarschuwen.! Het is Facebook. Bezint eer ge begint (of bemint).
De app had dan ook niet de verplichting om mee te doen in de donatie van de gegevens aan het verdere onderzoek. In de basis kon je gewoon kijken hoe je "scoorde" binnen de app. Aansluitend kreeg je dan nog een opt-in om de gegevens ook te doneren aan een onderzoek.

De ontwikkelaar heeft het ook verder onderbouwd op bijvoorbeeld https://sites.google.com/michalkosinski.com/mypersonality
Wel erg kort door de bocht. In dit geval zijn het de gebruiker en de app ontwikkelaar die hier voor gezorgd hebben niet Facebook zelf. Dat de gebruiker zo dom is om de app te activeren en daar persoonlijke informatie in te plaatsen kun je Facebook niet aan gaan rekenen
Facebook met zijn brakke api's? Zodat Jan en alleman data uit het platform kunnen slurpen en dit dan vervolgens op een nog brakkere manier kunnen opslaan?

Heb er weinig sympathie voor.
Dit heeft 0 te maken met een brakke app @Sandor_Clegane . Misschien is het een idee om het artikel en het eerdere artikel eens even goed te lezen.

Voor de gegevens welke opgegeven zijn in de app hebben een deel van de gebruikers toestemming gegeven voor het gebruik van de opgegeven gegevens in een onderzoek. Tot de geëxporteerde gegevens heeft een onderzoeker vervolgens aan iets te veel mensen toegang gegeven.

[Reactie gewijzigd door daredevil__2000 op 23 augustus 2018 11:29]

Die brakke api's is een van de voorbeelden waarom ik er weinig sympathie voor heb, dit is weer een voorbeeld van hoe brak ze met hun data omgaan.

Vandaar ook: the gift that keeps on giving. Eerst Cambridge en nu weer dit.
Facebook is in dit geval helemaal niet "brak" met data omgegaan. Lees nu eerst de artikelen eens goed.

De gegevens zijn gegeven binnen de App en zijn dus opgeslagen bij de ontwikkelaar. Daarna is er binnen diezelfde app expliciet toestemming gevraagd aan de gebruikers voor het mogen gebruiken van de data door de onderzoekers. Deze gegevens zijn vervolgens gedeeld met onderzoekers. De onderzoekers hebben daarbij iets te veel personen toegang gegeven tot deze informatie.

Dit is dus geen data welke bij elkaar geharkt is via een api of wat dan ook. Het lek zit buiten facebook
Waar komen die gegevens vandaan? En als ze zich niet verantwoordelijk voelen, of verantwoordelijk zijn, waarom is het dan Facebook die mensen op de hoogte stelt en niet de prutsers van het andere bedrijf?

In de tocht om Facebook winstgevend te maken hebben ze gewoon iedereen toegang gegeven tot de data op FB die hun geld wilde geven. Ze hadden deze lui gewoon moeten screenen, maar dat is niet gebeurd en nu ligt die data allemaal op straat. Komt nog bij dat er maar een iemand in jouw omgeving deze hoeft te hebben ingevuld en grote kans dat ze jouw data ook hebben omdat "friends of friends" data vaak inbegrepen was.

[Reactie gewijzigd door Sandor_Clegane op 23 augustus 2018 11:31]

Nogmaals lees de 2 artikelen.

De gegevens zijn opgeslagen in de app niet op Facebook. Het zijn geen geharkte gegevens en geen door Facebook opgeslagen gegevens. Dus nee Facebook hoeft zich hier niet verantwoordelijk voor te voelen. Dat Facebook de verantwoording pakt is een positief is zeker nadat het bedrijf geen gehoor heeft willen geven aan het verzoek voor audits
Quote: "Vandaag hebben we myPersonality van Facebook verwijderd, een app die voornamelijk voor 2012 actief was, omdat [de mensen achter de app] ons verzoek om een audit weigerden en omdat het duidelijk is dat ze informatie deelden met onderzoekers en bedrijven terwijl er slechts beperkte beveiliging aanwezig was."

Dat ze die data dan ergens anders opslaan is toch helemaal niet relevant? De gegevens komen van FB en die gaven jan en alleman gewoon toegang.

Dit is hetzelfde als dat de bank geld, van anderen, bewaard in een kluis en daarna geven ze iedereen een sleutel die aan deur klopt en dan vinden ze het raar dat er geld weg is.

[Reactie gewijzigd door Sandor_Clegane op 23 augustus 2018 11:38]

De vergelijking met deze situatie klopt totaal niet. Nogmaals Facebook heeft de gegevens niet gevraagd en niet opgeslagen. Dit is buiten Facebook opgeslagen en buiten Facebook gedeeld.

Je vergelijking moet zijn: Je huurt een kluisje bij een bank. Daar stop jij (en dus niet de bank) geld in van anderen en vraagt daarbij aan de verstrekkers van het geld of het akkoord is dat personen x en y daar ook toegang tot hebben. Vervolgens stopt persoon y het geld in een eigen kluis en deelt de code van de kluis met nog een aantal andere mensen waarna het geld van die personen in ene op straat ligt.

Net zoals facebook is de bank ik het voorbeeld alleen degene die de dienst van het gebruik van een kluis aanbied. Dat de afnemers van de kluis vervolgens dingen doen die niet zo netjes zijn is niet de verantwoordelijkheid van de bank.

[Reactie gewijzigd door daredevil__2000 op 23 augustus 2018 13:43]

Het werd gehost op het platform van Facebook. En daarmee is het de verantwoordelijkheid van Facebook.
Hoe je dat verder allemaal recht wilt praten is allemaal prima, maar ik reken het toch echt Facebook aan.

En Facebook zelf lijkt het ook zo te zien, vandaar dat zij de mensen op de hoogte stellen.
Facebook heeft in dit geval niets met de gelekte gegevens te maken anders dan dat Facebook het platform was waarop de app actief was.
hahaha blijf vooral complot theorieën zien. Facebook heeft dit niet bewust gefaciliteerd. Dat sommige gebruikers illegale software gebruiken onder windows of films op hun laptop kijken waar niet netjes voor betaald is maakt nog niet dat ze misdaad faciliteren. Het doel van Facebook is tenslotte niet het lekken van de data. Facebook heeft zelf ook geen gegevens aangeleverd in deze.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True